转载

使用Mozilla Investigator（MIG）检测未知主机

MIG是一款由Mozilla开发的分布式取证开源框架。MIG即使检测数千台服务器速度依旧很快，其只专注于在大量的系统中搜索正则表达式和字符串，非常高效。

近来我在奥斯丁举办的DFIR峰会上展示MIG时，其中一位与会人员向我提出了一个问题“它可以用来检测未知或者伪造的系统么？”最好的办法就是执行一种检测方法来观察其网络，特别是伪造主机的出站连接或者恶意软件建立的一个C&C服务。MIG还可以通过检测远程系统的ARP表以及与已知系统的本地MAC地址交叉引用结果来继续探测。在已知系统中任何未配置MAC地址的都可能是伪造代理。

首先，我们需要在已知系统ARP表中检索所有的MAC地址，netstat模块可以通过邻近MAC地址来匹配正则表达式“^[0-9a-f]”（匹配所有的十六进制）来完成这个任务。

$ mig netstat -nm "^[0-9a-f]" > /tmp/seenmacs

将结果保存到/tmp/seenmacs，并使用一些bash列出独特的MAC地址

$ awk '{print tolower($5)}' /tmp/seenmacs | sort | uniq 00:08:00:85:0b:c2 00:0a:9c:50:b4:36 00:0a:9c:50:bc:61 00:0c:29:41:90:fb 00:0c:29:a7:41:f7 00:10:db:ff:10:00 00:10:db:ff:30:00 00:10:db:ff:f0:00 00:21:53:12:42:c1

接着我们需要检测每一个已经配置MAC地址的已知代理，当然我们可以继续使用netstat模块来完成这个任务。这一次通过-lm来查询本地MAC地址。

现在MACs列表可能已经很长了，使用下面脚本我们将其分为50个一组。

#! /usr/bin/env bash i=50 input=$1 output=$2 while true do  echo -n "mig netstat " >> $output  for mac in $(awk '{print tolower($5)}' $1|sort|uniq|head -$i|tail -50)   do   echo -n "-lm $mac " >> $output  done  echo >> $output  i=$((i+50)) if [ $i -gt $(awk '{print tolower($5)}' $1|sort|uniq|wc -l) ]  then   exit 0  fi done

该脚本将netstat命令的最大参数限制为50，参数1调用/tmp/seenmacs，参数2为输出文件。

$ bash /tmp/makemigmac.sh /tmp/seenmacs /tmp/migsearchmacs

/tmp/migsearchmacs包含许多MIG netstat指令用于通过已知主机配置接口搜索MAC地址，运行指令并将结果输出到文件

$ for migcmd $(cat /tmp/migsearchmacs); do $migcmd >> /tmp/migfoundmacs; done

现在我们有一个包含MAC地址文件，以及一个已知系统下配置了MAC地址的文件。在bash中做两个判别式很简单

$ for seenmac in $(awk '{print tolower($5)}' /tmp/seenmacs|sort|uniq); do  hasseen=""; hasseen=$(grep $seenmac /tmp/migfoundmacs)   if [ "$hasseen" == "" ]; then   echo "$seenmac is not accounted for"  fi done 00:21:59:96:75:7f is not accounted for 00:21:59:98:d5:bf is not accounted for 00:21:59:9c:c0:bf is not accounted for 00:21:59:9e:3c:3f is not accounted for 00:22:64:0e:72:71 is not accounted for 00:23:47:ca:f7:40 is not accounted for 00:25:61:d2:1b:c0 is not accounted for 00:25:b4:1c:c8:1d is not accounted for

自动化检测

定时运行这个程序是个不错的主意哟，下面的脚本能够实现自动化操作，并将最后生成的报告邮寄给你最喜欢的安全团队。

#!/usr/bin/env bash SEENMACS=$(mktemp) SEARCHMACS=$(mktemp) FOUNDMACS=$(mktemp) echo "seen mac addresses are in $SEENMACS" echo "search commands are in $SEARCHMACS" echo "found mac addresses are in $FOUNDMACS" echo "step 1: obtain all seen MAC addresses" $(which mig) netstat -nm "^[0-9a-f]" 2>/dev/null | grep 'found neighbor mac' | awk '{print tolower($5)}' | sort | uniq > $SEEN MACSMACCOUNT=$(wc -l $SEENMACS | awk '{print $1}')  echo "$MACCOUNT MAC addresses found"echo " step 2: build MIG commands to search for seen MAC addresses" i=50 while true; do  echo -n "$i.."  echo -n "$(which mig) netstat -e 50s " >> $SEARCHMACS  for mac in $(cat $SEENMACS | head -$i | tail -50)  do      echo -n "-lm $mac " >> $SEARCHMACS  done  echo -n " >> $FOUNDMACS" >> $SEARCHMACS  if [ $i -gt $MACCOUNT ]   then     break   fi   echo " 2>/dev/null &" >> $SEARCHMACS   i=$((i+50)) done echo echo "step 3: search for MAC addresses configured on local interfaces" bash $SEARCHMACS sleep 60 echo "step 4: list unknown MAC addresses" for seenmac in $(cat $SEENMACS) do   hasseen=$(grep "found local mac $seenmac" $FOUNDMACS)  if [ "$hasseen" == "" ]; then       echo "$seenmac is not accounted for"   fi done

未知MACs列表可以用来研究端点，他们可能是交换器，路由器，或者其他不需要运行MIG代理的网络设备。再或者他们可能是伪造端点，这就需要你注意了

* 参考来源 Linuxwall ，译者/鸢尾转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）

正文到此结束